セキュリティニュース

穴吹トラベル、グループ会社にランサムウェア攻撃 従業員情報の一部がダークウェブに流出

穴吹トラベルは2026年2月3日、同社グループ会社のシステムがランサムウェア攻撃を受け、サーバー内ファイルが暗号化される被害が発生したと公表した。ダークウェブ上のリークサイトで、役員や従業員、元従業員の氏名、性別、勤務先名称、勤務先住所の一部が掲載されていることを確認したとしている。同社が保有する顧客の個人情報の漏えいは、現時点で確認されていないという。

情報流出に関するお知らせとお詫び(ランサムウェア被害発生のお知らせ(第3報)) | お知らせ | あなぶきトラベル
情報流出に関するお知らせとお詫び(ランサムウェア被害発生のお知らせ(第3報)) | お知らせ | あなぶきトラベルより引用

3行要約

【発生】2026年2月3日、グループ会社のシステムがランサムウェアに感染し、複数サーバーのファイルが暗号化された。

【影響】ダークウェブのリークサイトで役員・従業員・元従業員の氏名、性別、勤務先名称、勤務先住所の一部が掲載されていることを確認。顧客情報の漏えいは未確認とした。

【対応】対象機器を即時隔離し、警察、個人情報保護委員会、四国運輸局に届出。既存インフラを刷新し、クラウド基盤への移行とゼロトラスト導入を進めるという。

わかっていること/わかっていないこと

わかっていること

・通信機器の脆弱性を悪用した外部からの不正アクセスがあった。

・攻撃者は業務時間外を中心にリモートデスクトップ等で複数サーバーへのログインを試行し、管理者権限を奪取した。

・ダークウェブのリークサイトに、役員・従業員・元従業員の氏名、性別、勤務先名称、勤務先住所が掲載されていた。

・顧客の個人情報漏えいは現時点で確認されていない。

・同社はクレジットカード情報を保有していない。

わかっていないこと

・悪用された通信機器の具体的な脆弱性(CVE番号など)。

・ランサムウェアの種類や攻撃者グループ名。

・ダークウェブに掲載された情報の件数および対象人数。

・身代金の要求有無と金額。

・システム復旧の完了時期。

通信機器の脆弱性突かれ侵入、管理者権限奪取へ

同社の発表によれば、攻撃の起点となったのは通信機器の脆弱性だった。攻撃者はここから社内ネットワークに侵入し、業務時間外を中心にリモートデスクトップなどを使って複数のサーバーへのログインを試みたとされる。管理者権限を不正に取得した上で侵入範囲を広げ、複数のサーバーにランサムウェアを展開してファイルを暗号化したという。

2月3日、システム監視で暗号化被害を検知。同社は被害拡大を防ぐため、対象機器を社内ネットワークおよびインターネットから直ちに切り離した。安全が確認された機器から順次稼働を再開しているとしている。

ダークウェブに役員・従業員情報、顧客情報漏えいなし

外部専門機関による調査の過程で、ダークウェブのリークサイトに同社の役員・従業員および元従業員の情報の一部が掲載されていることが確認された。掲載が確認されたのは氏名、性別、勤務先名称、勤務先住所の4項目。件数や対象人数について、同社は現時点で公表していない。

一方、同社は保有する顧客の個人情報について漏えいは確認されていないとし、クレジットカード情報は保有していないと説明した。調査の進捗により新たな漏えいが判明した場合には、対象者に個別連絡するとしている。

警察など関係当局に届出 なりすまし注意を呼びかけ

同社はシステム隔離後、警察、個人情報保護委員会、四国運輸局の各関係当局に報告した。外部専門機関によるフォレンジック調査も並行して実施し、侵入経路の特定と現行システムの安全性確認を進めている。二次被害防止の観点から調査は継続中だという。

また、流出した情報が悪用される可能性を踏まえ、同社または同社グループを装った不審なメールや電話に注意するよう呼びかけた。同社が電話やメールのみで振込先の変更や金銭の支払いを求めることは一切ないとし、添付ファイルの開封やリンクのクリックを控えるよう求めている。

クラウド基盤移行とゼロトラスト導入で再構築へ

再発防止策として、同社は既存インフラの全面刷新を打ち出した。オンプレミス環境からクラウドネイティブ基盤へ移行し、システムとネットワーク構成を根本から再構築する方針だ。あわせて、ゼロトラストアーキテクチャやID管理基盤の導入など、先進的なセキュリティ技術の実装を、実績ある専門事業者と連携して進めるとしている。

外部業者による取り組み検証を継続的に実施するとともに、リスク管理体制と全社的な内部統制の強化を軸としたセキュリティガバナンス体制の再構築にも取り組むとした。営業活動は発生当初から通常どおり継続しているが、安全確認および調査の継続により、一部業務で顧客や取引先に不便が生じているとしている。

背景:旅行業界を狙うランサムウェア

旅行業界は顧客の個人情報や予約データを大量に扱うため、ランサムウェア攻撃の標的となりやすい業種とされる。通信機器の脆弱性を起点とした侵入、リモートデスクトップ経由の横展開、管理者権限奪取からランサムウェア展開に至る一連のプロセスは、国内外で観測される典型的な手口と重なる。

情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」では、組織向け脅威の上位にランサムウェア被害が継続して挙げられている。内部侵入を前提に認証と権限を常時検証するゼロトラストアーキテクチャは、従来の境界型防御の限界を補う手法として、近年導入検討が広がっている領域だ。

タイムライン

2026年2月3日(火):システム監視により異常を検知、暗号化被害を確認

同日:対象機器を社内ネットワークおよびインターネットから遮断

その後:警察、個人情報保護委員会、四国運輸局へ届出

調査段階:外部専門機関による調査でダークウェブ上のリークサイトへの情報掲載を確認

2026年2月3日:本リリースを公表

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,,,,,